> hallo, > wir sind in der schule dabei ne firewall und nen webserver aufzubauen, > beide laufen mit woody. die internetverbindung wird �ber tdsl realisiert > also mit dynamischer ip. der zugriff auf den webserver erfolgt �ber eine > ..de adresse die auf eine dyndnsadresse verweist. nun m�chten die leute
> aus dem selben netz �ber die .de adresse darauf zugreifen was aber aus > dem lokalem netz nicht funktioniert. > f�r das forwarding wird iptables benutzt > > iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 80 -j DNAT --to > 192.168.100.1 > > die 192.168.100.1 ist ein cisco router der das weiter forwardet. > > > 172.16.0.0 netz in diesem netz befindet sich der webserver > I > I > I > 192.168.100.0 Netz transfernetz (router<->firewall) > I > I > I > Firewall > I > I > I > INternet > > wenn dire leute aus dem 172.16 netz einen �ffentlichen proxy einstellen > ist der zugriff �ber die .de adresse m�glich. wie mache ich es nu damit > der proxy nicht n�tig ist und der zugriff �ber .de trotzdem m�glich ist? > > > gruss marius Hi Marius Deine ausf�hrungen sind nicht ganz durchsichtig. Die iptables chain ist aber richtig. Du hast jedoch ein klassisches Routing-Problem. geh mal ein deinen webserver und und versetze mal deine netzwerkkarte in den promicuous mode (hier die erste karte) und lausche mal an port 80 tcpdump -i eth0 port 80 -n schau mal ob �berhaupt pakete ankommen wenn du die webseiten aufrufst. wenn ja? wohin gehen die? ist deine R�ckroute die Richtige, oder versucht er das mit der default route aufzul�sen? route -n schafft gewissheit Aber aufgrund der Sicherheit, w�rde ich euch nicht dazu raten mit einigen iptables regeln einen server von aussen zu erreichen. Der Webserver muss in eine DMZ. sollte n�mlich jemand diesen von aussen kompremittieren, so hat er leichtes Spiel auf den Rest der Rechner zuzugreifen.Und das w�re fatal, wenn die Lehrer PC's davon betroffen w�ren. Wie Ihr mit relativ alter hardware eine DMZ zum laufen bekommt (100MHZ mit 16MB reichen) verr�t auch das IPCOP projekt. Die Installation ist kinderleicht und der bedienung l�sst kaum w�nsche offen. Und wenn Ihr wollt k�nnt Ihr gleich den Cisco router und euren dsl router ersetzen damit ersetzen. gruss Jerome Das aktuelle 1.4. release ist gerande erschienen http://www.ipcop.org/ PS: bedenket: dieses ist nur ein Paketfilter. Intrusion Detection, Vierenschutz etc. ist damit noch nicht effektiv abgedekt
